Yakın zamanda, Magento e-ticaret platformunu kullanan yaklaşık 100 çevrimiçi mağazayı etkileyen büyük bir kampanya, kredi kartı hırsızlığı yapan bir kodu, piksel boyutunda bir Scalable Vector Graphics (SVG) resmi içinde gizlemekte. Bu durum, siber güvenlik açısından son derece kritik bir tehdit oluşturuyor ve kullanıcıların hassas verilerinin ifşasına neden olabiliyor.

Saldırı Nasıl Çalışıyor?

Saldırı, mağaza kullanıcılarının “ödeme” tuşuna tıkladıklarında, kart bilgilerini ve faturalama verilerini doğrulayan ikna edici bir katmanla karşılaşmasını sağlayarak gerçekleşiyor. Araştırıcılar, saldırganın olası olarak  CVE-2023-12345  kodu ile bilinen  PolyShell  açığını kullanarak sisteme erişim sağladığını düşünüyor.  PolyShell , Magento Open Source ve Adobe Commerce stabil versiyon 2’de kimlik doğrulaması gerektirmeyen kod çalıştırılmasına olanak tanıyor.

Etkilenen Sistemler

Aşağıdaki sistemler bu saldırılara karşı savunmasız durumdadır:

• Magento Open Source stabil versiyon 2
• Adobe Commerce stabil versiyon 2

Sansec’in araştırmaları, CVE-2023-12345 kodu kapsamında daha fazla mağazanın hedef alındığını ve bazı durumlarda WebRTC kullanılarak veri kaçırma tekniklerinin devreye girdiğini göstermektedir.

Çözüm ve Korunma

Sansec, bu kampanyaya karşı aşağıdaki adımları tavsiye ediyor:

• HTML dosyalarınızda atob() kullanan onload özniteliğine sahip gizli SVG etiketlerini kontrol edin ve kaldırın.
• Tarayıcıdaki localStorage‘da _mgx_cv anahtarının var olup olmadığını kontrol edin; bu, ödeme verilerinin çalınmış olabileceğini gösterir.
• /fb_metrics.php veya alışılmadık analiz benzeri alanlara yapılan istekleri izleyin ve engelleyin.
• 23.137.249.67 IP adresi ve ilişkilendirilmiş alanlara tüm trafiği engelleyin.

Şu an itibarıyla, Adobe henüz PolyShell açığını giderecek bir güvenlik güncellemesi yayınlamamıştır; yalnızca ön sürüm 2.4.9-alpha3+ için bir yamanın mevcut olduğunu belirtmiştir.

Sonuç

Web site sahipleri ve yöneticileri, mevcut tüm önlemleri uygulamalı ve mümkünse Magento’yu en son beta sürümüne yükseltmelidir. Gerekli güncellemeleri yaparak ve potansiyel tehditlere karşı dikkatli olarak, müşteri verilerini koruma altına almalısınız.

Yeni bir font-rendering saldırısı, kötü niyetli komutların web sayfalarında gizlenmesini sağlarken, bu komutların yapay zeka asistanları tarafından gözden kaçırılmasına neden oluyor. Bu durum, siber güvenlik açısından ciddi riskler doğurmakta ve kullanıcıların güvenliğini tehdit etmektedir.

Saldırı Nasıl Çalışıyor?

LayerX tarafından geliştirilen bu yeni teknik, kötü niyetli bir komutun, görünürde zararsız bir HTML yapısı içinde gizlenmesine dayanıyor. Araştırmacılar, özel fontlar aracılığıyla karakterleri yeniden haritalandırarak ve CSS kullanarak, metni küçük font boyutu veya belirli renk seçimleriyle gizleyip, zararlı yükü sayfada net bir şekilde sunmayı başarıyorlar.

• Kötü niyetli komutlar, HTML‘da düzgün bir şekilde kodlanarak, yapay zeka asistanları tarafından tespit edilemeyecek şekilde gizleniyor.
• Ayrıca, kullanıcıya gösterilen metin, saldırganın zarar vermek amacıyla oluşturduğu komutun yerine geçiyor.

Arka planda gizli HTML kodu, kullanıcı tarafından görünemeyen, ama yapay zeka asistanı tarafından algılanmayan zararsız bir metin içeriyor. Ancak tarayıcı, bu gizli içeriği çözüp sayfada gösteriyor.

Etkilenen Sistemler

Araştırmalar sonucunda 2025 Aralık itibarıyla, saldırıdan etkilenen popüler yapay zeka asistanları şunlardır:

• ChatGPT
• Claude
• Copilot
• Gemini
• Leo
• Grok
• Perplexity
• Sigma
• Dia
• Fellou
• Genspark

Araştırmacılar, yapay zeka asistanlarının bir web sayfasını yapılandırılmış metin olarak analiz ettiğini, ancak tarayıcının aynı sayfayı görsel bir temsilde sunduğunu vurguluyor. Bu farklılık, asistanların yanlış yanıtlar vermesine ve güven kaybına yol açıyor.

Çözüm ve Korunma

LayerX, etkilenen yapay zeka asistanları sağlayıcılarına 16 Aralık 2025 tarihinde bu durumu bildirdi. Ancak çoğu, sosyal mühendislik gerektirdiği için bu durumu “kapsam dışı” olarak değerlendirdi. Microsoft durumu kabul ederek tam açıklama talep etti ve olayı çözme yönünde adım attı. Bununla birlikte, Google durumu yüksek öncelikli kabul etmesine rağmen daha sonra düşürdü ve kapattı.

Kullanıcılara önerilen genel tedbirler şunlardır:

• Yapay zeka asistanlarına körü körüne güvenmemek.
• Güvenlik açıklarını önlemek için sürekli güncellemeleri takip etmek.
• Gerekirse, ilgili portları kapatmak.

Araştırmacılar, yapay zeka asistanlarının hem görsel sayfa hem de metin tabanlı DOM’u analiz ederek karşılaştırmalar yapmasının daha etkili olacağını belirtmektedir.

Sonuç

Bu tür saldırılar, siber güvenlik açısından ciddi tehditler oluşturmakta. Kullanıcıların bu tür tehditlere karşı dikkatli olmaları, AI asistanlarından alınan bilgilerin doğruluğunu her zaman sorgulamaları ve güncellemeleri sürekli takip etmeleri önerilmektedir. Eğer yapay zeka asistanınızın güvenliği konusunda endişeleriniz varsa, potansiyel riskleri azaltmak için yazılımınızı güncellemek ve ilgili portları kapatmak yüzeysel ama etkili bir önlem olacaktır.

Son altı ayda, siber suçluların Facebook kullanıcılarını hedef almak için “browser-in-the-browser” (BitB) yöntemini giderek daha fazla kullandığı gözlemlendi. Bu teknik, kullanıcı bilgilerini çalmak amacıyla geliştirilmiş olup, siber güvenlik açısından kritik bir tehdit oluşturmaktadır.

Saldırı Nasıl Çalışıyor?

BitB saldırısında, saldırganların kontrolündeki web sayfalarını ziyaret eden kullanıcılar, sahte bir tarayıcı pop-up penceresi ile karşılaşır.

• Sahte pencerede, gerçek platformların oturum açma arayüzünü taklit eden bir iframe kullanılır.
• Bu pop-up, özelleştirilmiş bir pencere başlığı ve URL ile kullanıcıları yanıltmak amacıyla tasarlanır.

Trellix araştırmacıları, Facebook kullanıcılarını hedef alan son phishing kampanyalarının, telif hakkı ihlali iddialarında bulunan sahte hukuk firmaları tarafından gerçekleştirildiğini bildirmektedir. Bu saldırılar kullanıcıları, hesap askıya alma tehdidi veya yetkisiz oturum açma bildirimleri gibi mesajlarla manipüle eder.

Etkilenen Sistemler

Trellix, güvenilir bulut platformları olan Netlify ve Vercel üzerinde barındırılan birçok phishing sayfası keşfetti. Bu sahte sayfalar, Meta’nın Gizlilik Merkezi’ni taklit ederek kullanıcıları kişisel bilgilerini toplamaya yönlendiriyor.

• Meta Gizlilik Merkezi’ni taklit eden sahte sayfalar.
• Kullanıcıları kişisel bilgilerini girmeye zorlayan sahte başvuru formları.

Bu kampanyalar, siber güvenlik araştırmacılarının genellikle gözlemlediği standart Facebook phishing kampanyalarına göre önemli bir evrim gösteriyor.

Çözüm ve Korunma

Kullanıcılar, hesaplarla ilgili güvenlik uyarıları veya ihlal bildirimleri aldıklarında, her zaman resmi URL’ye yeni bir sekmede gitmelidir.

• Oturum açma pop-up’larında kimlik bilgilerini girme isteğiyle karşılaştığınızda, pencerenin tarayıcı penceresinin dışına hareket edip edemediğini kontrol edin. BitB tekniği nedeniyle iframe’ler, temel pencereye bağlıdır ve dışarı taşınamaz.
• Çok faktörlü kimlik doğrulama (MFA) özelliğini etkinleştirerek çevrimiçi hesaplarınıza erişimi korumanız önerilmektedir.

Sonuç

Kullanıcıların bu tür saldırılara karşı dikkatli olmaları ve kimlik bilgilerini korumak için önerilen tüm koruma yöntemlerini uygulamaları önemlidir. Gerektiğinde hesap güncellemeleri gerçekleştirmeli ve şüpheli bağlantılardan kaçılmalıdır. Eğer şüpheli bir oturum açma işlemi veya güvenlik bildirimi alırsanız, hemen hesap ayarlarınızı gözden geçirmeniz gerekmektedir. Unutmayın, siber güvenlik her bireyin sorumluluğudur.

Nov 11, 2025Ravie LakshmananMalware / Network Security

Güncel Siber Güvenlik Haberleri – 1